一种Crossfire链路洪泛攻击的SND移动目标防御方法技术

本发明专利技术公开了一种Crossfire链路洪泛攻击的SDN移动目标防御方法，包括下列步骤：1)对于给定的一个网络拓扑，将其构建为基于关系序偶集合的网络模型；2)拥塞监控组件对构建出的网络模型进行监控，并根据监控结果判断网络模型是否出现严重拥塞链路，若判断结果为“是”，则利用SDN控制器动态调整网络配置和网络行为：若判断结果为“否”，则继续监控；该Crossfire链路洪泛攻击的SDN移动目标防御机制在进行Crossfire链路洪泛攻击防御时，利用SDN的重路由策略疏解被攻击链路的拥塞负载，通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。

A SND Mobile Target Defense Method for Crossfire Link Flooding Attacks

The invention discloses a SDN mobile target defense method for Crossfire link flooding attack, which includes the following steps: 1) for a given network topology, it is constructed as a network model based on the set of relational sequence pairs; 2) congestion monitoring component monitors the constructed network model, and judges whether the network model has serious congestion links according to the monitoring results, if the result is judged. In order to \yes\, SDN controller is used to dynamically adjust network configuration and network behavior: if the result is \no\, then continue monitoring; when the SDN mobile target defense mechanism of Crossfire link flooding attack is used to defend against Crossfire link flooding attack, SDN re-routing strategy is used to alleviate the congestion load of the attacked link, and the congestion is alleviated and avoided by flexible traffic scheduling. No critical link interruption will cause serious interference to network services.

【技术实现步骤摘要】
一种Crossfire链路洪泛攻击的SND移动目标防御方法
本专利技术涉及网络信息安全
，特别涉及一种Crossfire链路洪泛攻击的SDN移动目标防御方法。
技术介绍
分布式拒绝服务(DistributedDenialofService,DDoS)攻击对互联网的威胁日益严重，根据攻击目标，DDoS攻击分为应用程序、主机、资源、网络和基础设施攻击。随着网络技术的发展，新的DDoS攻击也层出不穷，Crossfire攻击就是典型代表。该类攻击造成关键链路的拥塞，破坏或切断网络目标区域的访问链接，使网络服务受到严重干扰，Crossfire攻击实现过程如图1所示。由于Crossfire攻击难以检测且危害严重，其实现机制和攻击特性造成传统网络安全措施对其难以防御。传统的DDoS攻击防御机制单纯检测流量特征并根据流量和数据包的属性，过滤攻击流量，检测精度低，响应速度慢，攻击者容易避开检测机制并导致防御失效。现行的DDoS防御机制用于防御Crossfire攻击，将不可避免地产生大量攻击误报，不仅干扰了正常的网络服务，也降低了防御机制的可信度。同时，DDoS检测和防御机制本身的开销也会造成网络服务质量的下降。对比之下，SDN具有控制层与数据层分离、集中网络控制和视图、开放控制层与数据层之间的设备接口、网络外部可编程性4个关键特性，利用SDN防御Crossfire攻击，可以避免繁琐复杂的配置操作并减少失误，有利于统一快速部署。但目前针对Crossfire攻击尚缺少有效的检测和防御机制。
技术实现思路
本专利技术的目的是提供一种Crossfire链路洪泛攻击的SDN移动目标防御方法。为此，本专利技术技术方案如下：一种Crossfire链路洪泛攻击的SDN移动目标防御方法，包括按顺序进行的下列步骤：1)对于给定的一个网络拓扑，将其构建为基于关系序偶集合的网络模型；2)拥塞监控组件对步骤1)中构建出的网络模型进行监控，并根据监控结果判断网络模型是否出现严重拥塞链路，若判断结果为“是”，则利用SDN控制器动态调整网络配置和网络行为：若判断结果为“否”，则继续监控。进一步的，所述的步骤1)中构建基于关系序偶集合的网络模型的方法如下：1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息；1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D(p+q)×(p+q)，用来表示通信链路的节点流量信息；若流量矩阵D(p+q)×(p+q)中的元素dij等于0，则表示节点vi和节点vj之间不存在通信链路；否则，dij表示节点vi和节点vj之间直连通信链路的流量大小；1-3)将通信业务与其经过的链路组成关系序偶，将节点与和其直接相连的链路组成关系序偶，将可疑实体与被洪泛链路组成关系序偶，将可疑节点与被洪泛链路组成关系序偶，从而将给定网络拓扑构建为基于关系序偶集合的网络模型，并不断对关系序偶进行更新。进一步的，所述步骤2)中利用SDN控制器动态调整网络配置和网络行为时包括如下步骤：2-1)获取流量信息，根据目标地址分类，并测量出每个目的主机的流量带宽；2-2)判断所有目的主机是否同时拥塞，若是，表明属于同时拥塞阶段，链路未被攻击，则执行步骤2-4)；若否，则执行步骤2-3)；2-3)根据每个拥塞链路的目的主机带宽负载一致性对目的主机分类，对分类排名中达到拥塞链路带宽门限的目的主机进行重路由；2-4)判断是否首次链路阻塞，若是，则执行步骤2-1)；若否，则执行步骤2-5)；2-5)将拥塞链路的流量信息与重路由之前的流量信息相关联；2-6)判断已重路由的链路流量中消失的源地址在当前拥塞链路中是否出现过，若是，则执行步骤2-7)；若否，则执行步骤2-8)；2-7)更新这些源地址相应的可疑等级；2-8)重路由，并且对新的拓扑链路进行拥塞监控。进一步的，在步骤2)中，所述的重路由的方法为：Ⅰ)按路由将拥塞流量分组，排除源速率应当受限的流量；Ⅱ)监测拥塞流量是否达到重路由阈值，若判断结果为否，则继续监控，若判断结果为“是”，则为每个需要重路由的流量组寻找新的链路e，并进入下一步；新的链路e应满足两个条件：①与拥塞链路不相连，②带宽能满足流量负载；Ⅲ)判断是否找到满足条件的e，若无法找到一条满足条件的e，且一个组内所有的流量均未重路由，则暂时存储未重路由的流量信息；若找到满足条件的e，则重路由流量，并记录重路由流量及相应链路；Ⅳ)检查所有的拥塞流量组以确定每个组内所有流量都已被重路由。进一步的，所述网络模型中拥塞链路的判断方法为：拥塞监控组件每隔s秒测量链路带宽并统计拥塞链路的各分组流量负载，将链路流量负载等于其带宽容量的150％时负载值作为拥塞阈值，链路负载达到其带宽容量的90％时，则认为链路发生严重拥塞。与现有技术相比，该Crossfire链路洪泛攻击的SDN移动目标防御方法在进行Crossfire链路洪泛攻击防御时，利用SDN的重路由策略疏解被攻击链路的拥塞负载，通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。本专利技术能够动态调整网络配置和网络行为，诱使攻击者对攻击流量进行调整，提高诱饵服务器对攻击的检测效率；本专利技术机制可以有效防御Crossfire攻击且SDN的重路由策略不会造成显著开销。附图说明图1为本专利技术提供的Crossfire攻击实现过程图。图2为本专利技术提供的拥塞监控和重路由控制流程图。图3为本专利技术提供的MTD防御机制架构图。图4(a)攻击者对关键链路实施洪泛攻击示意图。图4(b)防御者对诱饵服务器进行重路由的示意图。图4(c)攻击者向诱饵服务器实施攻击的示意图。图5为本专利技术提供的实验网络拓扑图。图6为本专利技术提供的Crossfire攻击设置时间图。图7为本专利技术提供的Crossfire攻击完成时间图。图8为本专利技术提供的Crossfire攻击者响应时间图。图9为本专利技术提供的Crossfire防御者响应时间图。图10为本专利技术提供的包的平均传输时延图。图11为本专利技术提供的传输数据包总量图。具体实施方式下面结合附图及具体实施例对本专利技术做进一步的说明，但下述实施例绝非对本专利技术有任何限制。一种Crossfire链路洪泛攻击的SDN移动目标防御方法，如图2所示，包括按顺序进行的下列步骤：1)构建基于关系序偶集合的网络模型对于给定的一个网络拓扑，首先将其构建为基于关系序偶集合的网络模型；构建出的网络模型由无向图G＝(V，E)表示，V是交换机或者代表路由器的节点的集合，E是通信链路的集合。p表示交换机数量，q表示路由器数量，n表示通信链路数量，则有V＝{v1，v2，…vp}U{vp+1，vp+2，…vp+q}，E＝{e1，e2，…en}。设A是实体(通信业务)的集合，则有A＝{α1，α2，…αn}；构建基于关系序偶集合的网络模型的方法如下：1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息；1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D(p+q)×(p+q)，用来表示通信链路的节点流量信息；若流量矩阵D(p+q)×(p+q)中的元素dij等于0，则表示节点vi和节点vj之间不存在通信链路；否则，dij表示节点vi和节点vj之间直连通信链路的流本文档来自技高网...

【技术保护点】
1.一种Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，包括按顺序进行的下列步骤：1)对于给定的一个网络拓扑，将其构建为基于关系序偶集合的网络模型；2)拥塞监控组件对步骤1)中构建出的网络模型进行监控，并根据监控结果判断网络模型是否出现严重拥塞链路，若判断结果为“是”，则利用SDN控制器动态调整网络配置和网络行为：若判断结果为“否”，则继续监控。

【技术特征摘要】
1.一种Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，包括按顺序进行的下列步骤：1)对于给定的一个网络拓扑，将其构建为基于关系序偶集合的网络模型；2)拥塞监控组件对步骤1)中构建出的网络模型进行监控，并根据监控结果判断网络模型是否出现严重拥塞链路，若判断结果为“是”，则利用SDN控制器动态调整网络配置和网络行为：若判断结果为“否”，则继续监控。2.根据权利要求1所述的Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，所述的步骤1)中构建基于关系序偶集合的网络模型的方法如下：1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息；1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D(p+q)×(p+q)，用来表示通信链路的节点流量信息；若流量矩阵D(p+q)×(p+q)中的元素dij等于0，则表示节点vi和节点vj之间不存在通信链路；否则，dij表示节点vi和节点vj之间直连通信链路的流量大小；1-3)将通信业务与其经过的链路组成关系序偶，将节点与和其直接相连的链路组成关系序偶，将可疑实体与被洪泛链路组成关系序偶，将可疑节点与被洪泛链路组成关系序偶，从而将给定网络拓扑构建为基于关系序偶集合的网络模型，并不断对关系序偶进行更新。3.根据权利要求2所述的Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，所述步骤2)中利用SDN控制器动态调整网络配置和网络行为时包括如下步骤：2-1)获取流量信息，根据目标地址分类，并测量出每个目的主机的流量带宽；2-2)判断所有目的主机是否同时拥塞，若是，表明属于同时拥塞阶段，链路未被攻击，则执行...

【专利技术属性】
技术研发人员：谢丽霞，丁颖，杨宏宇，
申请(专利权)人：中国民航大学，
类型：发明
国别省市：天津,12